La nouvelle campagne MageCart évite les bacs à sable des chercheurs
Un acteur malveillant utilisant le logiciel malveillant d'écumeur voleur de cartes MageCart mène une autre campagne en cours. La campagne est spéciale, car elle comporte un composant supplémentaire qui permet au malware d'esquiver en toute sécurité les systèmes de foyers de recherche et de bacs à sable et de ne se déployer que sur les machines de vraies victimes.
Le malware MageCart a été mis à jour avec un composant supplémentaire - un processus de navigateur. Le nouveau processus vérifie si le système hôte n'exécute pas une machine virtuelle - un signe presque certain que le matériel sous-jacent est utilisé comme banc d'essai pour détecter et analyser les logiciels malveillants. Les vérifications sont effectuées à l'aide de l'API WebGL de JavaScript.
La raison pour laquelle WebGL est utilisé est que les pirates utilisent le vérificateur de processus du navigateur pour obtenir des informations sur l'unité graphique du système. Les machines virtuelles utiliseront un moteur de rendu logiciel ou indiqueront simplement que le GPU discret est utilisé dans un environnement virtualisé - les deux options fonctionnent pour identifier le système hôte comme un sandbox de chercheur très probable.
Si la VM vérifie tous les retours négatifs, l'écumeur MageCart procède alors à la suppression de toutes sortes de champs de navigateur liés aux informations financières ou personnellement identifiables, du nom du propriétaire au numéro de téléphone et aux chaînes de données de carte de crédit.
Les chercheurs examinant la nouvelle campagne à l'aide de MageCart ont noté qu'il s'agissait d'une tactique relativement nouvelle et inhabituelle pour exécuter des vérifications de VM via le navigateur.
MageCart lui-même est le nom d'un groupe nébuleux d'acteurs de la menace, réunis par leurs tactiques et outils utilisés. Les acteurs de MageCart utilisent généralement des scripts qui ignorent les données de carte de crédit saisies dans les pages de paiement des magasins en ligne, puis transmettent ces données aux opérateurs du logiciel malveillant.
Cette méthode est particulièrement dangereuse pour les utilisateurs réguliers, car il n'y a aucun dommage ou dysfonctionnement visible avec leur système et ils peuvent continuer à acheter en ligne ou à effectuer divers paiements avec différentes cartes, sans se rendre compte que leurs informations ont été compromises et exfiltrées.